Retsudvalget 2016-17
REU Alm.del Bilag 294
Offentligt
1763843_0001.png
Datatilsynets
årsberetning 2016
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
Udgiver: Datatilsynet
Tryk og layout: Rosendahls a/s
Beretningen er sat med Meta
Oplag: 130
Maj 2017
ISSN nr: 1601-5657
ISBN nr: 978-87-999222-1-5
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
Datatilsynets
årsberetning
2016
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0004.png
Indhold
Til Folketinget........................................................................................
Datatilsynets virksomhed i 2016 ...........................................................
Datatilsynets opgaver ............................................................................
Rådgivning og vejledning.......................................................................
Brug af bodycams i forbindelse med udøvelse af vagtvirksomhed ...
It-sikkerhedstekster..........................................................................
Klagesagsbehandling ............................................................................
Strandmølleskolen............................................................................
Google ..............................................................................................
Sager på eget initiativ ............................................................................
Høringer over lovforslag mv. ..................................................................
Behandling af fortrolige personoplysninger ved udbud ...................
Regulering af droneområdet .............................................................
Evaluering af gældende logningsregler.............................................
Privat forskning ................................................................................
Datatilsynets organisation .....................................................................
Datarådet ..........................................................................................
Sekretariatet .....................................................................................
Statistiske oplysninger ..........................................................................
Forespørgsler og klager vedrørende private .....................................
Forespørgsler og klager vedrørende offentlige myndigheder ...........
Anmeldelser ......................................................................................
Sager på Datatilsynets eget initiativ ...............................................
Internationale sager..........................................................................
Nyt retsgrundlag ..................................................................................
Projektarbejde om databeskyttelsesforordningen.................................
Vejledninger mv. fra Artikel 29-gruppen ................................................
Hjemmeside om EU’s databeskyttelsespakke og 12 gode råd ...............
4
6
6
8
9
10
11
11
13
14
14
14
15
16
17
18
18
19
21
22
23
24
26
26
27
28
30
30
2
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0005.png
Persondatalovens ikrafttræden i Grønland ..........................................
EU-USA’s privatlivsskjold (”EU-US. Privacy Shield”) ............................
Internationalt samarbejde.....................................................................
Artikel 29-gruppen.................................................................................
Europol ..................................................................................................
Schengen-informationssystemet (SIS II) ...............................................
Told-informationssystemet (CIS) ...........................................................
Eurodac ..................................................................................................
Visum-informationssystemet (VIS) ........................................................
Indre Markeds-informationssystemet (IMI) ..........................................
Eurojust .................................................................................................
Europarådet ...........................................................................................
Berlin-gruppen.......................................................................................
Den europæiske konference ..................................................................
Den internationale konference ..............................................................
Nordisk samarbejde...............................................................................
Datatilsynets tilsyn ...............................................................................
Datatilsynets tilsynsstrategi ..................................................................
Tilsyn i 2016 ...........................................................................................
Tilsyn hos kommuner.............................................................................
Tilsyn hos regioner ................................................................................
Tilsyn hos statslige myndigheder ..........................................................
Tilsyn hos private dataansvarlige ..........................................................
Afslutning af it-sikkerhedstilsyn ............................................................
Oversigt over udførte tilsyn i 2016 .........................................................
31
32
33
33
34
35
35
36
36
37
37
37
37
38
39
39
40
40
41
42
43
43
43
44
45
3
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0006.png
Til Folketinget
Datatilsynet har i 2016 lagt betydelige ressourcer i arbejdet med at opnå et tilbundsgå-
ende kendskab til den databeskyttelsespakke, som i april 2016 blev vedtaget i EU – både
herhjemme i regi af Justitsministeriets projektarbejde og internationalt i den såkaldte
”Artikel 29-gruppe”.
Databeskyttelsespakken, der vil få stor betydning for Datatilsynets fremtidige arbejde,
består af en generel forordning om beskyttelse af personoplysninger, som gælder for
både den private og offentlige sektor (databeskyttelsesforordningen), og et direktiv om
beskyttelse af personoplysninger, som gælder for retshåndhævelsesområdet (retshånd-
hævelsesdirektivet). Forordningen, der skal erstatte databeskyttelsesdirektivet fra 1995,
får virkning fra den 25. maj 2018, mens direktivet, der skal erstatte en rammeafgørelse fra
2008, gennemføres i dansk ret allerede fra den 1. maj 2017.
Datatilsynet har endvidere fortsat bestræbelserne på at effektivisere arbejdsgange og
sagsbehandling med henblik på at få mest muligt ud af de ressourcer, som tilsynet har til
rådighed.
I 2016 har tilsynet således bl.a. sikret en forenklet anmeldelsesprocedure i forhold til de
nye lovpligtige whistleblower-ordninger, der senest fra den 1. januar 2017 skal være på
plads hos en række erhvervsdrivende virksomheder, herunder revisionsvirksomheder.
Datatilsynet har endvidere udviklet en ny og forenklet anmeldelsesblanket til brug for
anmeldelse af private forsknings- og statistikprojekter.
Samtidig er der med start fra 1. oktober 2016 gennemført en omorganisering af Datatilsy-
net, der bl.a. har resulteret i etableringen af en ny enhed, der har fået til opgave at få et
større og mere effektivt fokus på de mange klagesager og forespørgsler, som tilsynet
hvert år behandler.
Året har imidlertid også i vidt omfang været præget af arbejdet med større sagskomplek-
ser og opgaver af international karakter. Datatilsynet har behandlet lere større og ganske
principielle sager om behandling af personoplysninger hos såvel private virksomheder
som offentlige myndigheder.
4
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0007.png
Herudover har Datatilsynet brugt en del ressourcer på – sammen med de andre europæi-
ske datatilsyn – at færdiggøre den analyse af de nærmere konsekvenser af ”Safe Harbor”-
dommen, som blev indledt i efteråret 2015, og som i 2016 efter, at EU-Kommissionen den
2. februar 2016 indgik en aftale med de amerikanske myndigheder om et såkaldt ”EU-U.S.
Privacy Shield”, blev udvidet til også at omfatte en nærmere gennemgang af denne.
Den 1. december 2016 er persondataloven endvidere efter anmodning fra Grønlands Selv-
styre blevet sat i kraft for Grønland med de afvigelser, som de særlige grønlandske forhold
tilsiger. Den udgave af persondataloven, som er sat i kraft for Grønland, er i store træk den
samme som den danske. Der er dog foretaget enkelte afvigelser, som bl.a. skyldes, at der
i øvrigt i Grønland gælder andre regler, som har betydning for lovens anvendelse. Person-
dataloven aløser de hidtil gældende registerlove fra 1978.
5
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0008.png
Datatilsynets virksomhed i 2016
Datatilsynets opgaver
Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i
persondataloven overholdes. Tilsynet med domstolene ligger dog hos Domstolsstyrelsen.
Persondataloven:
Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med
senere ændringer.
I tilknytning til persondataloven har Justitsministeriet udstedt en række be-
kendtgørelser. Datatilsynet har endvidere udarbejdet en række vejlednin-
ger vedrørende loven.
Tilsynet med persondataloven indebærer et stort antal forskelligartede opgaver. Datatil-
synet har i 2016 bl.a. haft følgende opgaver:
Information og vejledning
Behandling af klager fra borgere
Udtalelser om forslag til love og bekendtgørelser mv.
Udtalelser om anmeldelser fra offentlige myndigheder
Tilladelser til virksomheder mv.
Tilladelser til forskere
Bidrag til besvarelse af spørgsmål fra Folketinget
Sager på Datatilsynets eget initiativ (egendrift-sager), herunder tilsyn hos statslige
myndigheder, private virksomheder, forskere mv.
• Deltagelse i internationale tilsynsmyndigheder og internationalt samarbejde med an-
dre datatilsynsmyndigheder
• Deltagelse i arbejdsgrupper, udvalg mv. og oplæg på konferencer og lign.
6
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0009.png
Det er Datatilsynets vision, at myndigheder og private kender og overholder reglerne for
behandling af personoplysninger, og at borgerne kender og kan bruge deres rettigheder.
Datatilsynet gør dette muligt og lettere gennem synlighed, information, dialog og kontrol.
Det er Datatilsynets mission at rådgive om registrering, videregivelse og anden behand-
ling af personoplysninger samt at føre tilsyn med, at myndigheder, virksomheder og andre
dataansvarlige overholder persondataloven.
7
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0010.png
Rådgivning og vejledning
Datatilsynet udøver – som forudsat i de almindelige bemærkninger til persondataloven – i
første række sin virksomhed gennem generelle retningslinjer og ved en serviceorienteret
rådgivning og vejledning.
Dette sikres bl.a. gennem tilsynets hjemmeside, hvor tilsynet løbende offentliggør rele-
vant praksis. I 2016 offentliggjorde Datatilsynet således 65 informationstekster på hjem-
mesiden, herunder 35 afgørelser og ire særlige it-sikkerhedstekster.
Det er Datatilsynets oplevelse, at der er en stadig større efterspørgsel efter at få tilsynet
til at stille op og fortælle om persondataretlige problemstillinger. Den fremtidige regule-
ring på databeskyttelsesområdet og Datatilsynets rolle er i den forbindelse også et emne,
som interesserer mange. I 2016 har Datatilsynet deltaget med 20 af sådanne oplæg. Data-
tilsynet har bl.a. holdt oplæg om datasikkerhed og erfaringer fra Datatilsynets tilsyn hos
kommuner og regioner for it-medarbejdere i kommunerne på to HK-netværksmøder. Da-
tatilsynet har også deltaget i en debat om privatliv på nettet i forbindelse med Folkemødet
på Bornholm, ligesom tilsynets direktør har holdt lere indlæg om fremtidens Datatilsyn
for bl.a. Folketingets Retsudvalg, offentlige myndigheder og private virksomheder mv.
Den Europæiske Databeskyttelsesdag inder sted hvert år den 28. januar. Databeskyttel-
sesdagen er en anledning til at gøre en særlig indsats for at give borgerne viden om data-
beskyttelse og deres rettigheder i den forbindelse. Datatilsynet fejrede i 2016 dagen ved
at deltage aktivt på en konference, der blev afholdt på Christiansborg i anledning af data-
beskyttelsesdagen. Temaet for konferencen var ” Ansvarlighed – fair og transparent data-
behandling”. Datatilsynets direktør Cristina Angela Gulisano holdt et indlæg på konferen-
cen om ”Fremtidens Datatilsyn”. Emnerne, der blev talt om var bl.a.: Hvordan ser den nye
direktør fremtidens Datatilsyn, herunder i lyset af den nye forordning? Hvordan griber
Datatilsynet opgaven an – er der fokus på særlige indsatsområder? Repræsentanter for
Datatilsynet var endvidere til stede på konferencen med en informationsstand, så delta-
gere i konferencen kunne få en snak med tilsynets medarbejdere og prøve Datatilsynets
quiz om de nuværende og kommende regler om persondatabeskyttelse. Datatilsynets di-
rektør deltog senere samme dag også med et lignende indlæg på en anden stor konfe-
rence om databeskyttelse hos Dansk Industri.
Herudover er telefonisk rådgivning en stor del af Datatilsynets arbejde. Tilsynet har i 2016
registreret 11.751 telefoniske henvendelser. Antallet af telefoniske henvendelser har der-
med været på et lidt lavere niveau end i 2015 (13.388 opkald).
8
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0011.png
Datatilsynet giver endvidere vejledning på baggrund af skriftlige forespørgsler om per-
sondataloven. Nedenfor ses et eksempel på en sådan sag.
Brug af bodycams i forbindelse med udøvelse af vagtvirksomhed
Datatilsynet modtog i 2016 en anmeldelse om behandling af personoplysninger fra vagt-
virksomheden G4S, der ønskede at anvende bodycams i forbindelse med udøvelsen af
vagtvirksomhed.
Baggrunden for anmeldelsen er en stigende tendens til almen uro, voldelige episoder
samt andre verbale og fysiske episoder over for vagtpersonalet hos G4S. For at imødegå
denne tendens ønsker G4S at anvende bodycams på steder, hvor vagtpersonalet vurderes
at være særligt udsat, især i forbindelse med såkaldte ”strøgopgaver”.
G4S havde i anmeldelsen nærmere beskrevet, hvorledes brugen af bodycams skal foregå,
og hvorledes optagelser skulle beskyttes, opbevares og slettes.
For en fuldstændig gengivelse af sagen henvises til Datatilsynets hjemmeside.
Efter at sagen havde været behandlet i Datarådet, gav Datatilsynet G4S en treårig tilla-
delse til den pågældende behandling af personoplysninger. Datatilsynet fandt således, at
behandlingen i det konkrete tilfælde kan ske inden for rammerne af persondatalovens §
8, stk. 4 (interesseafvejningsreglen), hvor tilsynet lagde vægt på den ovenfor nævnte sti-
gende tendens til voldelige episoder over for vagtpersonalet. Datatilsynet lagde endvi-
dere vægt på, at bodycams alene vil blive anvendt i de tilfælde, hvor G4S inder det særlig
gavnligt og effektivt og vurderer, at det har en præventiv effekt, samt at den omhandlede
vagtvirksomhed generelt har betydning for opretholdelse af ro, orden og tryghed de på-
gældende steder og således også varetager en samfundsmæssig interesse.
Som vilkår for tilladelsen fremhævede Datatilsynet bl.a. følgende:
Der må udelukkende foretages optagelse ved brug af bodycams med det formål at styrke
arbejdsmiljøet ved at sænke antallet af ”nær-ved hændelser” og overfald på vagter, at
kunne bistå med oplysninger til efterforskningsarbejdet vedrørende forhold, der er an-
meldt til politiet, samt at tilvejebringe dokumentation for hændelsesforløb, hvor en vagt
f.eks. beskyldes for at have optrådt voldeligt. Der må således ikke ske behandling af per-
sonoplysninger til andre formål som f.eks. opklaring af sager om butikstyveri o. lign.
9
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0012.png
Det følger af persondatalovens krav om god databehandlingsskik, at medarbejderne –
herunder nyansatte – skal informeres om samtlige formål med brugen af bodycams. Den-
ne information skal gives forudgående.
G4S har ansvaret for, at der ikke behandles personoplysninger i strid med persondatalo-
ven. Det er i den forbindelse vigtigt, at optagelse af uvedkommende personer så vidt mu-
ligt undgås.
Optagelser skal slettes efter 14 dage.
Der henvises i øvrigt også til Datatilsynets årsberetning 2014, s. 22f, hvor tilsynets udta-
lelse om traikselskabet Movias brug af bodycams er omtalt. Sagen adskiller sig fra dette
års sag ved at vedrøre en offentlig dataansvarlig.
It-sikkerhedstekster
Datatilsynet har også i 2016 publiceret tekster, der udfolder it-sikkerhedsmæssige pro-
blemstillinger, som tilsynet får kendskab til fra sit daglige virke i forbindelse med bl.a.
tilsyn og sikkerhedsbrister. Henvendelser fra borgere, dataansvarlige, databehandlere og
produktudviklere viser ligeledes et behov for, at tilsynet vejleder om overvejelser, som det
er relevant at gøre sig, med henblik på at opnå et tilstrækkeligt it-sikkerhedsniveau på
speciikke områder.
I 2016 udgav Datatilsynet ire it-sikkerhedstekster. To tekster, der beskriver risici og over-
vejelser angående fælles login, en tekst om beskyttelse af login imod forsøg på at gætte
adgangsgivende faktorer, og en tekst om krypteret dataudveksling via websider.
10
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0013.png
Klagesagsbehandling
I klagesagerne træffer Datatilsynet afgørelse om, hvorvidt en behandling af personoplys-
ninger er sket i overensstemmelse med persondataloven.
Når Datatilsynet modtager en klage fra en borger, undersøger tilsynet først, om den data-
ansvarlige allerede har modtaget en henvendelse fra borgeren med en klage over forhol-
det. Hvis ikke borgeren selv har rettet henvendelse til den dataansvarlige, sender tilsynet
som udgangspunkt borgerens klage videre til den dataansvarlige, så denne i første om-
gang kan foretage en vurdering af, om behandlingen af personoplysninger er berettiget.
Tilsynet underretter samtidig borgeren og den dataansvarlige om muligheden for på ny at
rette henvendelse til tilsynet, hvis borgeren ikke er tilfreds med den dataansvarliges be-
svarelse.
I 2016 har tilsynet registreret et fald på 3 % i antallet af nye sager (forespørgsler og klager)
vedrørende private virksomheder mv. (fra 1.112 i 2015 til 1083 i 2016). Hvad angår lignende
sager vedrørende offentlige myndigheder, er der i 2016 registreret et fald på 29 % i antal-
let af nye sager (fra 831 i 2015 til 590 i 2016).
Nedenfor ses eksempler på klagesager, som Datatilsynet i 2016 traf afgørelse i.
Strandmølleskolen
Datatilsynet har i 2016 behandlet en sag, hvor to forældre klagede til tilsynet over, at le-
delsen på en skole havde gennemgået søgehistorikken på deres sønners private pc’er og/
eller tablets.
I november 2015 afbrød skolens leder og viceinspektør undervisningen i en 7. klasse og
bad klassens tilstedeværende 9 drenge om at følge med ind i et tilstødende lokale og
medbringe deres private pc’er og/eller tablets.
Baggrunden herfor var ifølge skolen bl.a., at skolens ledelse forinden var blevet kontaktet
af en forælder fra 7. klasse, der havde talt med lere andre forældre, der havde bekræftet,
at de havde hørt, at der blev set porno i frikvartererne og i timerne.
Skoleledelsen gennemgik derfor søgehistorikken på de 9 drenges pc’er og/eller tablets
med henblik på en konstatering af, om drengene havde besøgt hjemmesider med porno-
graisk indhold. I forbindelse med gennemgangen blev der ikke fundet noget, der tydede
på at være pornohjemmesider.
11
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0014.png
For en fuldstændig gengivelse af sagen henvises til Datatilsynets hjemmeside.
Efter at sagen var blevet behandlet i Datarådet udtalte Datatilsynet bl.a. følgende:
• Efter Datatilsynets opfattelse indeholder søgehistorikken på en pc eller en tablet,
hvorigennem det vil være muligt at inde oplysninger om, hvilke hjemmesider på inter-
nettet den enkelte elev eller andre brugere af en pc eller tablet har besøgt, personop-
lysninger omfattet af persondataloven.
• Datatilsynet anser den skete læsning eller gennemgang af 9 elevers søgehistorik som
en
behandling
af personoplysninger omfattet af persondataloven.
• Datatilsynet lægger til grund, at der med den omhandlede gennemgang af elevernes
søgehistorik er tale om en behandling af almindelige ikke-følsomme personoplysnin-
ger, som skal ske i overensstemmelse med persondatalovens § 6.
• Behandling af almindelige personoplysninger kan bl.a. ske, hvis den registrerede har
givet sit udtrykkelige samtykke hertil, jf. persondatalovens § 6, stk. 1, nr. 1, eller hvis
behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem
oplysningerne videregives, kan forfølge en berettiget interesse og hensynet til den
registrerede ikke overstiger denne interesse, jf. § 6, stk. 1, nr. 7.
• Det må i denne sag lægges til grund, at skolen ikke har indhentet et udtrykkeligt sam-
tykke fra elverne og/eller elevernes forældre. Behandlingen skal derfor vurderes efter
persondatalovens § 6, stk. 1, nr. 7. Behandlingen skal endvidere leve op til de grund-
læggende principper om saglighed og proportionalitet i persondatalovens § 5, stk. 2
og 3.
• Efter Datatilsynets opfattelse må det ved vurderingen af lovligheden af den skete be-
handling bl.a. tages i betragtning, at der var tale om udstyr i privat eje, og dermed ikke
udstyr, som skolen havde ejendomsret eller rådighed over.
• Det må endvidere tages i betragtning, at søgehistorikken på de undersøgte enheder
også kunne omfatte søgninger foretaget uden for skoletiden, som ikke kan antages at
komme skolen ved.
• Endelig må det tages i betragtning, at undersøgelsen og gennemgangen var rettet
mod børn i 7. klasse og indgik i en sammenhæng, hvor der blev vist interesse i at inde
oplysninger om elevers eventuelle brug af udstyret til at se porno.
12
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0015.png
• Under hensyntagen til disse forhold er det Datatilsynets opfattelse, at den skete be-
handling hverken levede op til saglighedskravet i persondatalovens § 5, stk. 2, propor-
tionalitetskravet i lovens § 5, stk. 3, eller interesseafvejningsreglen i § 6, stk. 1, nr. 7.
• På denne baggrund må det således konkluderes, at skolen har overtrådt persondata-
lovens § 5, stk. 2 og 3, samt § 6, stk. 1.
Datatilsynet fandt dette kritisabelt.
Google
Efter EU-Domstolens afgørelse i den såkaldte ”Google-dom”
1
om ”retten til at blive glemt”
har en del borgere fremsat ønske om at få fjernet søgeresultater, som fremkommer ved
søgning på deres navn, hos Google (og andre søgemaskiner).
I første række henviser Datatilsynet borgeren til at fremsætte sin anmodning om sletning
over for den dataansvarlige (søgemaskinen). Dette gøres nemmest via den klageformular,
som indes hos søgemaskiner som Google.
Hvis søgemaskinen nægter at fjerne søgeresultater, der fremkommer ved søgning på den
registreredes navn, har borgeren mulighed for at klage til Datatilsynet.
Ved vurderingen af, om et søgeresultat kan kræves fjernet, vil Datatilsynet indledningsvis
tage stilling til, om den danske persondatalov inder anvendelse. I følge ”Google-dom-
men” vil det være tilfældet, når selskabet bag søgemaskinen er etableret i Danmark eller
har etableret en ilial eller et datterselskab i Danmark, som sælger reklameplads, og hvis
aktivitet er rettet mod indbyggerne her i landet.
Hvis persondataloven inder anvendelse foretager Datatilsynet en vurdering af, om be-
handlings-betingelserne i lovens kapitel 4 er opfyldt. Hvis tilsynet inder, at en søgema-
skineudbyders behandling af personoplysninger kan ske inden for rammerne af kapitel 4,
tager Datatilsynet også stilling til, om reglerne om de registrerede personers rettigheder
i persondataloven efter en konkret vurdering alligevel kan føre til, at der skal ske sletning.
Datatilsynet træffer i sidste ende afgørelse om, hvorvidt den registreredes indsigelse er
berettiget, og pålægger i så fald søgemaskinen at slette de omhandlede søgeresultater.
1
C-131/12. Et link til dommen kan indes på EU-Domstolens hjemmeside via dette link: http://curia.europa.eu/juris/liste.jsf?num=C-
131/12&language=DA
13
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0016.png
Sager på eget initiativ
I 2016 er der sket et fald på 27 % i antallet af sager på Datatilsynets eget initiativ (fra 150
sager i 2015 til 110 i 2016). Ressourcemæssige overvejelser har selvsagt indlydelse på
den løbende prioritering af, hvilke sager der kan tages op af egen drift i Datatilsynet.
Høringer over lovforslag mv.
I 2016 registrerede Datatilsynet 469 nye høringssager i forbindelse med lovforslag, be-
kendtgørelser mv. Der er hermed sket en stigning på 18 % i forhold til 2015, hvor der var
397 høringssager.
I sine udtalelser forholder Datatilsynet sig til de eventuelle databeskyttelsesretlige pro-
blemstillinger i det foreliggende lovforslag mv. Datatilsynet anser sine udtalelser som et
væsentligt bidrag i lovgivningsprocessen, dels fordi tilsynet besidder en ekspertviden om
databeskyttelse, dels fordi tilsynet efter persondataloven udøver sine funktioner i fuld
uafhængighed. Tilsynet prioriterer derfor opgaven højt.
Datatilsynet skal efter persondatalovens § 57 afgive udtalelse ved udarbejdelse af generelle
retsforskrifter, f.eks. forslag til love, bekendtgørelser og direktiver, der har betydning for be-
skyttelsen af privatlivet i forbindelse med behandling af personoplysninger.
Behandling af fortrolige personoplysninger ved udbud
Fra januar 2016 indebærer nye regler i udbudsloven bl.a., at virksomheder, der byder på et
offentligt udbud omfattet af loven, skal dokumentere over for den ordregivende myndig-
hed, at virksomheden eller dennes ledelsespersoner m.l. ikke er dømt eller har vedtaget
bødeforlæg for nærmere angivne lovovertrædelser, som udelukker virksomheden fra del-
tagelse i en udbudsprocedure.
For danske virksomheder kan denne dokumentation ske ved indsendelse af en såkaldt
serviceattest, som udstedes af Erhvervsstyrelsen i form af en erklæring om, at der ikke
foreligger de nævnte udelukkelsesgrunde. Attesten udstedes på baggrund af oplysninger
indhentet fra ATP, SKAT, Skifteretten og Kriminalregistret. Brugen af serviceattester inde-
bærer, at virksomhederne ikke selv skal indhente og indsende egentlige straffeattester
for de pågældende ledelsespersoner mv.
14
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0017.png
Serviceattester kan imidlertid ikke udstedes for udenlandske ansatte i udenlandske virk-
somheder, der deltager i en udbudsprocedure, hvorfor dokumentation for, at ledelsesper-
soner mv. i disse virksomheder ikke har begået de omhandlede lovovertrædelser, skal
foreligge i form af straffeattester, hvor der kan indgå oplysninger om andre strafbare for-
hold.
Dette indebærer, at de mange offentlige myndigheder, der omfattes af udbudsreglerne,
skal anmelde til Datatilsynet, at de behandler oplysninger om strafbare forhold, ligesom
tilsynets udtalelse skal indhentes, forinden behandlingen iværksættes.
Datatilsynet har med henblik på at forenkle anmeldelsesproceduren for myndighederne
udarbejdet en kladde, som kan anvendes ved anmeldelse af behandling af fortrolige per-
sonoplysninger i forbindelse med myndighedernes sagsbehandling, herunder oplysnin-
ger om strafbare forhold modtaget på baggrund af reglerne i udbudsloven.
Regulering af droneområdet
Datatilsynet afgav i marts 2016 på eget initiativ bemærkninger til et forslag til lov om æn-
dring af lov om luftfart (Ny samlet regulering af droneområdet, justering af arbejdsmiljø-
regler, administration og afgifter og gebyrer).
Datatilsynet understregede i den forbindelse, at behandling af personoplysninger i for-
bindelse med brug af droner – herunder f.eks. optagelse af billeder eller lyd samt videre
håndtering af sådanne optagelser – skal ske under iagttagelse af persondataloven.
Endvidere udtalte Datatilsynet sig om, hvornår en overvågning vil være reguleret af hen-
holdsvis tv-overvågningsloven og persondataloven. Hertil bemærkede tilsynet, at uanset
om der er tale om en overvågning, som er reguleret af tv-overvågningsloven, vil den videre
behandling af personoplysninger, som indsamles f.eks. via en drones kamera, som ud-
gangspunkt være reguleret af persondataloven ligesom anden behandling af personop-
lysninger.
Datatilsynet bemærkede endvidere, at en privatperson, som foretager tv-overvågning af
det offentlige rum ved f.eks. brug af droner, ikke vil kunne anses som fritaget fra person-
datalovens regler, da der ikke er tale om en aktivitet af ”rent privat karakter”, jf. personda-
talovens § 2, stk. 3 og databeskyttelsesdirektivets artikel 3, stk. 2.
15
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0018.png
Evaluering af gældende logningsregler
Justitsministeriet rettede i juli 2016 henvendelse til Datatilsynet med en anmodning om
tilsynets eventuelle bemærkninger i forbindelse med ministeriets udarbejdelse af en eva-
luering over de gældende logningsregler, som fremgår af retsplejelovens § 786, stk. 4, og
bekendtgørelse nr. 988 af 28. september 2006 med senere ændringer (logningsbekendt-
gørelsen).
Af høringsbrevet fremgik det, at Justitsministeriets evaluering vil indgå i overvejelserne i
forbindelse med den revision af logningsreglerne, som ministeriet planlægger af frem-
sætte i folketingsåret 2016-2017.
Justitsministeriet anmodede i den anledning om, at der i forbindelse med vurderingen af
de gældende logningsregler bl.a. blev taget stilling til, om der er behov for at ændre opbe-
varingsperioden for loggede data, og hvilke typer af data der er behov for at registrere.
Efter sagen havde været behandlet på et møde i Datarådet, udtalte Datatilsynet følgende
generelle betragtninger om de gældende logningsregler:
• Ved registrering og opbevaring af personoplysninger omfattet af logningsbekendtgø-
relsens §§ 4-6 sker der efter Datatilsynets opfattelse indsamling og registrering af
personoplysninger i et meget stort omfang.
• Ud fra hensynet til privatlivets fred må opretholdelse af et retsgrundlag, der indebærer
en sådan massiv indsamling og registrering af personoplysninger, efter Datatilsynets
opfattelse give anledning til nøje overvejelser og bør kun ske, hvis vægtige samfunds-
mæssige hensyn tilsiger dette.
• Under alle omstændigheder må databehandlinger begrænses til det, der er nødven-
digt i forhold til formålet med indsamlingen og opbevaringen, ligesom opbevaringsti-
den skal være så kort som muligt set i forhold til, hvad der er nødvendigt i forhold til
formålet med indsamlingen.
• Det må i sidste ende efter Datatilsynets opfattelse bero på en politisk vurdering, om
man inder grundlag for at videreføre de nuværende logningsregler.
Derudover kunne Datatilsynet konstatere, at teleselskaberne i en række tilfælde har haft
problemer med at efterleve persondatalovens regler om registrerede personers ret til ind-
sigt. Det var samlet set Datatilsynets erfaring, at der i en del af tilsynets sager har været
16
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0019.png
problemer med, at selskaberne ikke har givet borgere den fulde indsigt, som de var beret-
tiget til efter persondataloven.
Datatilsynet opfordrede på denne baggrund Justitsministeriet til at styrke varetagelsen af
hensynet til de registrerede på dette område. Dette kunne eksempelvis ske ved i reglerne
på området at tydeliggøre, at teleselskaberne har denne pligt til at meddele indsigt.
Endelig fandt Datatilsynet anledning til at foreslå, at Justitsministeriet allerede nu overve-
jede at benytte nogle af de elementer, som kommer med den nye databeskyttelsesforord-
ning i maj 2018.
I den forbindelse kunne tilsynet umiddelbart pege på muligheden af, at Justitsministeriet
underkaster et eventuelt påtænkt logningskrav en konsekvensanalyse vedrørende data-
beskyttelse, jf. forordningens artikel 35, at teleselskaberne ved lov forpligtes til at udpege
sådanne databeskyttelsesrådgivere, som vil blive en realitet med forordningen, jf. forord-
ningens artikel 37, at teleselskaberne forpligtes til at notiicere sikkerhedsbrud til Datatil-
synet og orientere de registrerede efter regler svarende til de kommende krav, jf. forord-
ningens artikel 33 og 34, og at forbedre Datatilsynets muligheder for at give påbud til
teleselskaberne, eksempelvis med en mulighed for at give egentlige påbud om at imøde-
komme den registreredes anmodninger om at udøve sine rettigheder, svarende til artikel
58, stk. 2, litra c, i forordningen.
Privat forskning
Datatilsynet indførte medio 2016 en forenklet fremgangsmåde ved anmeldelse af privates
behandling af personoplysninger, der udelukkende inder sted i videnskabeligt eller sta-
tistisk øjemed.
Forenklingen består hovedsagelig i, at Datatilsynet har udarbejdet en ny anmeldelses-
blanket, hvor oplysningerne om de forudsætninger mv., der er fælles for behandlingerne,
er udfyldt på forhånd. Dette har indebåret en betydelig administrativ lettelse for både til-
synet og de forskningsinstitutioner mv., der skal foretage anmeldelse og søge om Datatil-
synets tilladelse.
Den ændrede fremgangsmåde ændrer ikke på, at de dataansvarlige selv har ansvar for at
sikre, at behandlingen af oplysninger sker under iagttagelse af reglerne i persondatalo-
ven.
17
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0020.png
Datatilsynets organisation
Datatilsynet består af et råd – Datarådet – og et sekretariat. Datatilsynet udøver sine funk-
tioner i fuld uafhængighed, men har en inanslovsmæssig og personalemæssig tilknyt-
ning til Justitsministeriet, som dog ikke har nogen instruktionsbeføjelse over for tilsynet.
Datatilsynets afgørelser efter persondataloven er endelige og kan ikke indbringes for an-
den administrativ myndighed. Afgørelserne kan indbringes for domstolene, ligesom Data-
tilsynet i sin virksomhed er undergivet sædvanlig kontrol af Folketingets Ombudsmand.
Datarådet
Sekretariat
Direktør
Christina A. Gulisano
Journal, omstilling,
intern
administration m.v.
Informations-
sikkerhed
og teknologi -
enheden
IT-chef
Sten Hansen
Tilsynsenheden
Specialenheden
Almen Jura-
enheden
Kontorchef
Lena Andersen
Kommitteret
Birgit Kleis
Kontorchef
Astrid Mavrogenis
Datarådet
Datarådet består af en formand og seks andre medlemmer, der alle er udpeget af justits-
ministeren. Datarådet træffer først og fremmest afgørelse i sager af principiel karakter.
Rådet fastsætter efter loven selv sin forretningsorden. Forretningsordenen fremgår af be-
kendtgørelse nr. 1178 af 15. december 2000 om forretningsordenen for Datarådet og kan
indes på Datatilsynets hjemmeside.
18
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0021.png
Datarådets medlemmer
(pr. 31. december 2016)
Formand, højesteretsdommer Henrik Waaben
Næstformand, advokat Janne Glæsel
Professor, dr.jur. Peter Blume
Overlæge, vicedirektør Hans Henrik Storm
Kommunaldirektør Niels Johannesen
IT-sikkerhedschef Henning Mortensen
Direktør Lars Pram
Medlemmerne beskikkes for ire år ad gangen. De er personligt udpeget i kraft af deres
sagkundskab inden for bestemte sagsområder og er ikke repræsentanter for bestemte
interesseorganisationer el.lign.
Sekretariatet
Sekretariatet beskæftiger omkring 35 medarbejdere (jurister, IT-konsulenter, kontorper-
sonale og studenter) og varetager Datatilsynets daglige drift under ledelse af en direktør,
cand. jur. Cristina Angela Gulisano.
Datatilsynets bevillingsmæssige forhold mv. fremgår af Datatilsynets årsrapport for 2016.
Årsrapporten er offentliggjort på tilsynets hjemmeside.
Personalesammensætning
40
35
30
25
20
15
10
5
0
2001
2002
2000
2003
2007
2012
2013
2014
2015
2011
2005
2006
Jurister
It-konsulenter
Kontorpersonale
2008
2009
2004
Studenter (ej fuldtidsansatte)
2016
2010
19
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0022.png
Datatilsynets medarbejdere
(pr. 31. december 2016)
Direktør, cand.jur. Cristina Angela Gulisano
Kommitteret, cand.jur. Birgit Kleis
Kontorchef, cand.jur. Lena Andersen
Kontorchef, cand.jur. Astrid Mavrogenis
It-chef, civilingeniør, HD, Sten Hansen
Chefkonsulent, cand.jur. Lene Engedal Kragelund
Chefkonsulent, cand.jur. Jesper Husmer Vang
Specialkonsulent, cand.jur. Helle Ginnerup-Nielsen
AC-stabsmedarbejder, cand.soc. Anne Bech
It-sikkerhedskonsulent, diplomingeniør Walther Starup-Jensen
It-sikkerhedskonsulent, cand.scient.dat. Farshid Shaikhrezai
Kontorfuldmægtig Helle Jensen
Kontorfuldmægtig Pernille Jensen
Kontorfuldmægtig Anne-Marie Müller
Kontorfuldmægtig Suzanne Stenkvist
Kontorfuldmægtig Mette-Maj Aner Leilund
Assistent Camilla Knutsdotter Hallingby
It-medarbejder Flemming Nielsen
It-medarbejder Thomas Klarskov Jensen
Fuldmægtig, cand.jur. Ahang Faraje
Fuldmægtig, cand.jur. Amanda Lærke Vad
Fuldmægtig, cand.jur. Bjarke Asger Bro
Fuldmægtig, cand.jur. Cathrine Engsig Sørensen
Fuldmægtig, cand.jur. Cathrine Serup Raasdal
Fuldmægtig, cand.jur. Hanne Louise Høimark (orlov)
Fuldmægtig, cand.jur. Mette Hansen
Fuldmægtig, cand.jur. Michala Nehammer
Fuldmægtig, cand. jur. Mikkel Brandenborg Stenalt
Fuldmægtig, cand.jur. Signe Vestergård Abildskov
Fuldmægtig, cand.jur. Soie Katrine Mannering (orl0v)
Fuldmægtig, cand.jur. Sissel Michelle Kristensen
Fuldmægtig, cand.jur. Victoria Maria Ljunggren
Stud.jur. Jonas Thøger Skjødt
Stud.jur. Kamille Frølund Thomsen
Stud.jur. Søren Saugmann Sparrevohn
20
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0023.png
Statistiske oplysninger
Her er oplysninger om antallet af nye sager i Datatilsynets journalsystem i 2016. Tallene
omfatter sager, som er oprettet i løbet af 2016. En del af Datatilsynets sagsbehandling er
imidlertid en fortsættelse af eksisterende sager. Dette er for eksempel tilfældet, når en
anmeldelse ændres, eller en tilladelse forlænges. Disse sager er af praktiske årsager ikke
medtaget i statistikken.
Datatilsynet registrerede 4.427 nye sager i 2016.
Nyoprettede sager 1. januar 2016 til 31. december 2016:
Datatilsynets egen administration mv.
Lovforberedende arbejde
Forespørgsler og klager vedrørende private
Forespørgsler og klager vedrørende offentlige myndigheder
Anmeldelser for den private sektor
Anmeldelser for den offentlige sektor
Sager på Datatilsynets eget initiativ (egen drift-sager)
Sikkerhedsspørgsmål
Internationale sager
Datatilsynets kompetence efter anden lovgivning
375
469
1.083
590
1.313
240
110
6
195
82
Der har været et fald på 19 % i det samlede antal nyoprettede sager i 2016 set i forhold til
2015. I 2016 blev der oprettet 4.427 nye sager mod 5.461 i 2015. Faldet er fordelt på for-
skellige sagsgrupper, herunder sager om sikkerhedsspørgsmål, forespørgsler og klager,
anden lovgivning samt anmeldelsessager.
10.000
9.000
8.000
7.000
6.000
5.000
4.000
3.000
2.000
1.000
0
2008
2006
2009
2000
2004
2002
2003
2005
2007
Antal nyoprettede sager
I det følgende uddybes tallene for nogle af de ovennævnte kategorier af sager.
21
2016
2001
2010
2014
2012
2013
2015
2011
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0024.png
Forespørgsler og klager vedrørende private
Datatilsynet registrerede i alt 1.083 nye sager om forespørgsler og klager vedrørende private
dataansvarlige. Sagerne havde følgende fordeling:
Almindelige virksomheder
Den inansielle sektor
Fagforeninger, a-kasser, pensionskasser mv.
Telesektoren
Foreninger og organisationer
Sundhedssektoren (medicinalirmaer, klinikker, læger mv.)
Kreditoplysningsbureauer
Advarselsregistre
Stillingsbesættende virksomheder
Ansøgninger om tilladelser
Internet, sociale netværk, cloud mv.
Tv-overvågning
Private forskere
Diverse
Sager af generel karakter
76
70
10
38
115
23
123
8
2
55
218
52
7
285
1
Fordelingen mellem klager og forespørgsler i sager, som Datatilsynet færdigbehandlede i 2016
2
,
var:
Klager
Forespørgsler
Ikke kategoriserede
7%
79 %
16 %
2
I lighed med Datatilsynets årsberetning for 2015 er disse tal for 2016 ikke opgjort på grundlag af sager, som er oprettet i 2016, men
på grundlag af sager, som Datatilsynet har færdigbehandlet i 2016. Heriblandt er sager oprettet i 2016 og 2015 samt enkelte sager fra
tidligere år. Opgørelsesmetoden skyldes et ønske om at opgøre tallene på en måde, så de ikke ændrer sig afhængig af, hvornår man
opgør dem.
22
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0025.png
Forespørgsler og klager vedrørende offentlige myndigheder
Datatilsynet registrerede i alt 590 nye sager om forespørgsler og klager vedrørende offentlige
myndigheder. Sagerne var fordelt således:
Statslige myndigheder
Regioner
Primærkommuner
Ansøgning om tilladelser
Diverse
202
66
232
64
26
Fordelingen mellem klager og forespørgsler i sager, som Datatilsynet færdigbehandlede i 2016
3
,
var:
Klager
Forespørgsler
Ikke kategoriserede
9%
68 %
23 %
3
Se note 1.
23
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0026.png
Anmeldelser
Anmeldelser for den private sektor
Datatilsynet registrerede i alt 1.313 nye sager om anmeldelser for den private sektor. Fordelin-
gen af sagerne var:
Forskning og statistik
Privates behandling af oplysninger om rent private forhold
Advarselsregistre
Spærrelister
Kreditoplysningsbureauer
Stillingsbesættende virksomheder
Edb-servicebureauer
Diverse sager af generel karakter
326
947
5
4
2
20
8
1
2.500
2.000
1.500
1.000
500
0
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
2015
2016
Anmeldelser for den private sektor
Faldet i antallet af anmeldelser for den private sektor fra 2015 til 2016 skyldes først og
fremmest et stort fald i anmeldelser af forskning og statistik. Her er der sket et fald på 62
% fra 858 sager i 2015 til 326 i 2016. Dette fald skyldes sandsynligvis, at meget forskning
– som tidligere blev betragtet som privat forskning – nu betragtes som offentlig forskning
og derfor falder under f.eks. regionernes paraplyanmeldelser af sundhedsvidenskabelig
forskning. Samtidig hermed er der imidlertid sket en stigning på 41 % fra 2015 til 2016 i
anmeldelser af privates behandling af oplysninger om rent private forhold. Dette skyldes
bl.a., at Datatilsynet har modtaget et stort antal anmeldelser fra en konkret branche, og at
der er indført lovkrav om en whistleblowerordning for revisorer.
24
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0027.png
Anmeldelser for den offentlige forvaltning
Datatilsynet registrerede i alt 204 nye sager om anmeldelser for den offentlige sektor. Fordelin-
gen af sagerne var:
Fællesanmeldelser
Kommuner
Regioner
Statslige myndigheder
Tilslutninger, kommuner
Tilslutninger, regioner
Tilslutninger, statslige myndigheder
Diverse/sager af generel karakter
0
50
9
92
40
0
12
1
6.000
5.000
4.000
3.000
2.000
1.000
0
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
2015
2016
Anmeldelser for den offentlige sektor
Antallet af offentlige anmeldelser er faldet med 73 % fra 756 sager i 2015 til kun 204 i
2016. Dette skyldes bl.a., at Datatilsynet i 2015 indførte statslige fællesanmeldelser på
forskningsområdet, der omfatter alle behandlinger af oplysninger, som myndigheden
udelukkende foretager i videnskabeligt eller statistisk øjemed. Der skal således ikke læn-
gere ske anmeldelse af hver enkelt videnskabelig undersøgelse og projekt. Det er derfor
forventeligt, at niveauet er lavere i 2016.
25
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0028.png
Sager på Datatilsynets eget initiativ
Datatilsynet registrerede i alt 110 nye sager oprettet på tilsynets eget initiativ. Fordelingen af
sagerne var:
Tilsyn og kontrol vedrørende private
Tilsyn og kontrol vedrørende offentlige myndigheder
Sager rejst på grundlag af presseomtale og lign.
Diverse/sager af generel karakter
Online-undersøgelser
19
32
56
2
1
Internationale sager
Datatilsynet registrerede i alt 195 nye internationale sager. Fordelingen af sagerne var:
Forespørgsler fra udlandet
Nordisk tilsynssamarbejde
Europarådet
EU
Datakommissærsamarbejdet
OECD
Diverse/sager af generel karakter
69
2
5
99
17
0
3
26
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0029.png
Nyt retsgrundlag
I januar 2012 offentliggjorde EU-Kommissionen sit udspil til nye regler om beskyttelse af
personoplysninger i EU – også kaldet EU’s databeskyttelsespakke. Pakken, der vil få stor
betydning for Datatilsynets fremtidige arbejde, består af en generel forordning om be-
skyttelse af person-oplysninger, som gælder for den private og offentlige sektor (databe-
skyttelsesforordningen), og et direktiv om beskyttelse af personoplysninger, som gælder
for retshåndhævelsesområdet (retshåndhævelsesdirektivet).
Der blev opnået enighed om EU’s databeskyttelsespakke i december 2015 efter en række
såkaldte trilogforhandlinger mellem EU-Parlamentet, Ministerrådet og EU-Kommissio-
nen. Pakken blev formelt vedtaget den 14. april 2016, og forordningen, der erstatter data-
beskyttelsesdirektivet fra 1995, inder anvendelse fra den 25. maj 2018, mens direktivet,
der erstatter en rammeafgørelse fra 2008, gennemføres i dansk ret allerede fra den 1. maj
2017.
Databeskyttelsesforordningen vil have direkte virkning i Danmark, hvilket betyder, at der
som udgangspunkt ikke må være anden dansk lovgivning, der regulerer behandling af
personoplysninger, i det omfang dette er reguleret i forordningen. Danmark er dermed
forpligtet til at indrette dansk lovgivning i overensstemmelse med forordningens bestem-
melser med virkning fra den 25. maj 2018.
Der skal derfor foretages en nærmere analyse af forordningens bestemmelser, herunder
forordningens rammer for nationale særregler, og en analyse af konsekvenserne for gæl-
dende dansk lovgivning. I forlængelse af analyserne vil der skulle tages stilling til, om og
i givet fald hvordan der inden for rammerne af forordningen skal fastsættes særlige dan-
ske regler.
Justitsministeriet har i 2016 igangsat et projektarbejde med henblik på at tilpasse dansk
lovgivning og hjælpe andre myndigheder med at forholde sig til forordningens regler. Da-
tatilsynet har deltaget og lagt betydelige ressourcer i dette arbejde. Endvidere har Data-
tilsynet også som medlem af den såkaldte ”Artikel 29-gruppe” været aktiv i forbindelse
med denne gruppes udarbejdelse af vejledninger mv. om forordningen.
27
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0030.png
Projektarbejde om databeskyttelsesforordningen
Justitsministeriet påbegyndte i 2016 efter vedtagelse af EU’s databeskyttelsespakke i
samarbejde med Datatilsynet, Digitaliseringsstyrelsen og Erhvervsstyrelsen et projekt
med en styregruppe og projektgrupper, som står for arbejdet med databeskyttelsesfor-
ordningen.
Arbejdet i projektgrupperne understøttes af to eller lere arbejdsgrupper og en ekspert-
referencegruppe.
Styregruppen er overordnet ansvarlig for projektets gennemførelse og består af afde-
lingschefen for Justitsministeriets lovafdeling, Datatilsynets direktør, Digitaliseringssty-
relsens direktør og Erhvervsstyrelsens direktør.
Projektet er opdelt i to projektgrupper, hvoraf den ene arbejder med forordningens ram-
mer for nationale særregler. Den anden gruppe arbejder – bl.a. med bidrag fra den første
projektgruppe – med forordningens konsekvenser for den generelle databeskyttelseslov-
givning i Danmark.
Projektgrupperne er sammensat af medarbejdere fra både Justitsministeriet, Datatilsy-
net, Digitaliseringsstyrelsen, Erhvervsministeriet, Skatteministeriet, Sundheds- og Æl-
dreministeriet, Danske Regioner og KL. Arbejdet i projektgrupperne understøttes af to
eller lere arbejdsgrupper.
Den projektgruppe, der behandler spørgsmål om rammerne for nationale særregler, un-
derstøttes af to arbejdsgrupper, mens projektgruppen, der arbejder med forordningens
konsekvenser for den generelle databeskyttelseslovgivning, understøttes af fem arbejds-
grupper inddelt efter forordningens forskellige elementer (behandlingsregler og rettighe-
der, behandlings-sikkerhed, nye særlige krav, erstatning og straf samt tilsyn).
Arbejdsgrupperne sammensættes af relevante medarbejdere fra Justitsministeriet, Data-
tilsynet, Digitaliseringsstyrelsen, Erhvervsministeriet samt i det omfang, andre ministeri-
er, kommunerne (KL) og regionerne (Danske Regioner) vurderer det relevant, medarbej-
dere/repræsentanter herfra.
Arbejdet i projektgrupperne understøttes af en ekspertreferencegruppe bestående af
eksperter i persondataret, IT-ret samt IT-sikkerhed; professor, dr.jur. Peter Blume, kom-
mitteret Jens Møller, professor, dr.jur. Henrik Udsen og ph.d. Gert Læssøe Mikkelsen. Re-
ferencegruppen understøtter navnlig arbejdet ved at rådgive om overordnede principielle
spørgsmål.
28
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0031.png
Endvidere understøttes arbejdet i projektgrupperne af det tværministerielle databeskyt-
telsesnetværk, som er etableret på Justitsministeriets foranledning.
Herudover har der i 2016 været afholdt et stormøde, hvor repræsentanter fra offentlige
myndigheder, interesseorganisationer og private virksomheder deltog, og hvor projektet
blev præsenteret, og der var mulighed for input til processen.
Projektet kan illustreres af nedenstående igur:
Styregruppe:
Formand, Justitsministeriet (afdelingschef )
Datatilsynet (direktør)
Digitaliseringsstyrelsen (direktør)
Erhvervsstyrelsen (direktør)
Stormøder
Netværksmøder
Projektgruppe 2
Konsekvenser for den
generelle databeskyttelses-
lovgivning
Projektgruppe 1
Rammer for danske særregler
Arbejdsgruppe 1
Om danske sær-
regler generelt
Ekspertreferencegruppe
Overordnede principielle
spørgsmål
Arbejdsgruppe 2
Regler om
forskning og
statistik samt
arkiv
Arbejdsgruppe 1
Regler om
behandling og
rettigheder
Arbejdsgruppe 2
Regler om
sikkerhed m.v.,
herunder ind-
beretning
til tilsynsmyndig-
heden
Arbejdsgruppe 3
Nye særlige krav,
herunder om
databeskyttelses-
oficerer og risiko-
analyse
Arbejdsgruppe 4
Erstatning
og straf
Arbejdsgruppe 5
Tilsyn
29
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0032.png
Det forventes, at projektarbejdets analyser, anbefalinger og udkast til lovgivningsmæssi-
ge tilpasninger afsluttes senest i maj 2017, således at der i oktober 2017 kan fremsættes
de nødvendige lovforslag i Folketinget, og således at der er tid til eventuelle tilpasninger
af procedurer hos dataansvarlige.
Vejledninger mv. fra Artikel 29-gruppen
I december 2016 vedtog Artikel 29-gruppen tre vejledninger (guidelines) om henholdsvis
databeskyttelsesrådgivere, den registreredes ret til dataportabilitet og identiicering af
den ledende tilsynsmyndighed. Der blev ved samme lejlighed også udarbejdet et sæt ofte
stillede spørgsmål (FAQ) om hvert emne. Efter offentliggørelse af materialet var det indtil
15. februar 2017 muligt at komme med bemærkninger til dokumenterne.
De endelig vedtagne retningslinjer kan indes på såvel Artikel 29-gruppens hjemmeside
som Datatilsynets sædvanlige hjemmeside, men også på Datatilsynets nye hjemmeside
www.dbreform.dk, hvor der tillige indes anden information om databeskyttelsespakken.
For nærmere om Artikel 29-gruppen henvises til afsnittet om Artikel 29-gruppen under
Internationalt samarbejde.
Hjemmeside om EU’s databeskyttelsespakke og 12 gode råd
I maj 2016 lancerede Datatilsynet en ny hjemmeside (www.dbreform.dk) med fokus på
EU’s databeskyttelsespakke.
Datatilsynet offentliggjorde endvidere i juni 2016 et dokument med 12 spørgsmål, som de
dataansvarlige med fordel kan forholde sig til for at forberede sig på databeskyttelsesfor-
ordningen, inden den inder anvendelse fra den 25. maj 2018.
Dokumentet er tiltænkt anvendt som en tjekliste, når en dataansvarlig skal have styr på
hovedforskellene mellem den nuværende lovgivning og den nye databeskyttelsesforord-
ning og på, hvordan forskellene påvirker den dataansvarliges organisation.
Ovennævnte dokument med 12 spørgsmål vedrørende databeskyttelsesforordningen
kan indes i nyhedsarkivet på Datatilsynets hjemmeside og på den nye hjemmeside
www.dbreform.dk.
30
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0033.png
Persondatalovens ikrafttræden
i Grønland
Efter anmodning fra Grønlands Selvstyre blev persondataloven ved kongelig anordning pr.
1. december 2016 sat i kraft for Grønland. Loven aløser de hidtil gældende registerlove fra
1978.
Den udgave af persondataloven, som er sat i kraft for Grønland, er i store træk den samme
som den danske. Der er dog foretaget enkelte afvigelser i den grønlandske udgave af lo-
ven, som bl.a. skyldes, at der i øvrigt i Grønland gælder andre regler, som har betydning
for lovens anvendelse. En væsentlig afvigelse fra de regler, der gælder i Danmark, er, at de
særlige regler om tv-overvågning ikke er sat i kraft for Grønland. Det betyder, at behand-
ling af personoplysninger i forbindelse med tv-overvågning skal vurderes efter lovens al-
mindelige regler. En anden afvigelse er, at loven for Grønland i modsætning til den danske
lov ikke omfatter domstolenes behandling af personoplysninger.
Som en overgangsordning er det fastsat i persondataloven for Grønland, at anmeldelse og
indhentelse af tilladelser for eksisterende behandlinger af personoplysninger efter per-
sondatalovens kapitel 12 og 13 først skal ske inden for en frist af tre år fra lovens ikraft-
træden, hvilket vil sige inden den 1. december 2019. Behandlinger, der iværksættes efter
lovens ikrafttræden, skal derimod som udgangspunkt anmeldes forud for iværksættelsen.
Justitsministeriet har i forbindelse med persondatalovens ikrafttræden i Grønland endvi-
dere den 29. november 2016 udstedt ire bekendtgørelser, der knytter sig til loven. Det
drejer sig om bekendtgørelse nr. 1402 om behandling af personoplysninger i Det Centrale
Kriminalregister (Kriminalregisteret) i Grønland, bekendtgørelse nr. 1403 og 1405 om und-
tagelse fra pligten til anmeldelse af visse behandlinger, som foretages for henholdsvis
den offentlige forvaltning og den private sektor i Grønland samt nr. 1404 om sikkerheds-
foranstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige
forvaltning i Grønland. Bekendtgørelserne er offentliggjort på Datatilsynets hjemmeside
på både grønlandsk og dansk.
Datatilsynet har udarbejdet en større vejledning om persondataloven, der er særligt hen-
vendt til grønlandske borgere, virksomheder og myndigheder. Hertil kommer et antal min-
dre vejledninger om udvalgte emner. Vejledningerne er offentliggjort på Datatilsynets
hjemmeside på både grønlandsk og dansk.
31
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0034.png
EU-USA’s privatlivsskjold
(”EU-US. Privacy Shield”)
I forlængelse af EU-Domstolens dom den 6. oktober 2015 i en præjudiciel forelæggelse fra
den irske High Court, i en sag mellem den østrigske statsborger Maximillian Schrems og
det irske datatilsyn, hvor EU-Domstolene bl.a. fastslog, at den såkaldte Safe Harbor-ord-
ning var ugyldig, var der intensive forhandlinger mellem EU-Kommissionen og de ameri-
kanske myndigheder med henblik på indgåelse af en ny aftale om overførsel af personop-
lysninger fra EU til USA.
Disse forhandlinger mundede i juli 2016 ud i, at EU-Kommissionen traf afgørelse om, at et
nyt såkaldt EU-USA Privatlivsskjold (”EU-U.S. Privacy Shield”) sikrer et tilstrækkeligt be-
skyttelsesniveau i forbindelse med overførsel af personoplysninger fra EU til USA. EU-
Kommissionens tilstrækkelighedsafgørelse samt en række annekser, herunder f.eks. er-
klæringer fra relevante amerikanske myndigheder, udgør sammen det nye EU-U.S. Privacy
Shield. Aftaledokumenterne kan indes på EU-Kommissionens hjemmeside.
4
Det nye EU-U.S. Privacy Shield indebærer bl.a., at danske dataansvarlige i medfør af per-
sondatalovens § 27, stk. 1, kan overføre personoplysninger til organisationer i USA, der
efter den 1. august 2016 har tilsluttet sig den nye ordning.
4
Se http://europa.eu/rapid/press-release_IP-16-433_en.htm
32
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0035.png
Internationalt samarbejde
Artikel 29-gruppen
Artikel 29-gruppen er nedsat i henhold til artikel 29 i det generelle databeskyttelsesdirek-
tiv
5
. Gruppen er uafhængig og rådgiver EU-Kommissionen om persondataretlige emner.
Den består af repræsentanter fra de nationale tilsynsmyndigheder i EU (samt andre euro-
pæiske lande der har status som observatører), en repræsentant fra Den Europæiske Til-
synsførende for Databeskyttelse (EDPS) samt en repræsentant fra EU-Kommissionen.
Datatilsynets direktør repræsenterer Danmark.
Artikel 29-gruppen har i 2016 afholdt 6 møder i Bruxelles.
Et emne, der har været brugt en del tid på i 2016, har været EU-USA Privatlivsskjoldet
(”EU-U.S. Privacy Shield”). EU-Kommissionen traf i juli 2016 afgørelse om, at ”EU-U.S.
Privacy Shield” sikrer et tilstrækkeligt beskyttelsesniveau i forbindelse med overførsel af
personoplysninger fra EU til amerikanske organisationer (typisk virksomheder), der har
tilsluttet sig den nye EU – U.S. Privacy Shield-ordning. I den forbindelse har Artikel
29-gruppen efter anmodning fra EU-Kommissionen vedtaget og offentliggjort en udtalel-
se om ”EU-U.S. Privacy Shield”, inden EU-Kommissionen traf afgørelse.
Artikel 29-gruppen har ligeledes haft ekstra fokus på EU’s databeskyttelsespakke. Artikel
29-gruppen har i den forbindelse vedtaget et arbejdsprogram for 2016-2018, hvoraf det
bl.a. fremgår, at Artikel 29-gruppen skal blive klar til at blive og fungere som Det Euro-
pæiske Databeskyttelsesråd. Endvidere fremgår det, at Artikel 29-gruppen vil udarbejde
vejledninger, værktøjer og blive enige om procedurerne i relation til det fremtidige samar-
bejde mellem tilsynsmyndighederne, udarbejde lere vejledninger til de dataansvarlige
mv. om indholdet af de nye regler i navnlig databeskyttelsesforordningen – også med det
formål at sikre ensartethed i reglernes gennemførelse.
I december 2016 vedtog Artikel 29-gruppen tre vejledninger (guidelines) om henholdsvis
data-beskyttelsesrådgivere, den registreredes ret til dataportabilitet og identiicering af
den ledende tilsynsmyndighed. Der blev ved samme lejlighed også udarbejdet et sæt ofte
stillede spørgsmål (FAQ) om hvert emne. Efter offentliggørelse af materialet var det indtil
15. februar 2017 muligt at komme med bemærkninger til dokumenterne.
5
Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling
af personoplysninger og om fri udveksling af sådanne oplysninger
33
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0036.png
Artikel 29-gruppen har endvidere vedtaget en række henstillinger, udtalelser mv. om an-
dre emner inden for databeskyttelsesområdet. Gruppen har bl.a. afgivet en udtalelse om
”the evaluation and review of the ePrivacy Directive”. Endelig har Artikel 29-gruppen også
haft lejlighed til at beskæftige sig med sager, der berører stort set alle de europæiske til-
synsmyndigheder, og som det derfor er oplagt at drøfte og tage stilling til i regi af Artikel
29-gruppen.
Alle Artikel 29-gruppens dokumenter er tilgængelige på EU-Kommissionens hjemmeside.
Der er link til disse dokumenter på Datatilsynets hjemmeside under punktet Internatio-
nalt
Artikel 29-gruppen.
Europol
Som en del af tilsynet med Europols behandling af personoplysninger deltager Datatilsy-
net i arbejdet i Den Fælles Kontrolinstans og Det Fælles Klageudvalg for Europol.
I Den Fælles Kontrolinstans for Europol har der i 2016 været afholdt tre møder, hvor man
bl.a. har drøftet den nye forordning for Europol, som træder i kræft den 1. maj 2017, og
kontrolinstansen har i den forbindelse drøftet sin rolle i perioden frem til det nye rets-
grundlags ikrafttræden. Den Fælles Kontrolinstans har endvidere udarbejdet en håndbog
for udveksling af personoplysninger til Europol. Håndbogen er distribueret til de natio-
nale Europol-enheder. Herudover har kontrolinstansen drøftet lanceringen af ”Europe’s
Most Wanted List” i starten af 2016. Kontrolinstansen har endvidere undersøgt mulighe-
den for, at de nationale ”Finansiel Information Units” kan tilkobles SIENA. Endelig har
kontrolinstansen drøftet Europols muligheder for udveksling af oplysninger med private
samt resultaterne af kontrolinstansens årlige inspektion af Europol.
Det Fælles Klageudvalg har i 2016 afholdt ét møde, hvor udvalget har drøftet behandlin-
gen af to klager til udvalget.
Offentliggjorte referater fra Den Fælles Kontrolinstans’ møder og kontrolinstansens of-
fentliggjorte udtalelser samt Det Fælles Klageudvalgs afgørelser kan indes via link fra
Datatilsynets hjemmeside under punktet Internationalt
Europol
JSBs hjemmeside.
På Datatilsynets hjemmeside indes også generel information om Europol og Datatilsy-
nets opgaver i relation hertil.
34
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0037.png
Schengen-informationssystemet (SIS II)
Datatilsynet deltager i Koordinationsgruppen for tilsynet med anden generation af Schen-
gen-informationssystemet (SIS II SCG).
I 2016 har der været afholdt to møder i koordinationsgruppen, hvor man bl.a. har udarbej-
det en fælles model for tilsyn med indberetninger i SIS II. Endvidere har gruppen drøftet
en fælles position vedrørende, hvornår oplysninger om stjålne køretøjer skal slettes fra
SIS II. Herudover har gruppen udarbejdet et spørgeskema vedrørende logning af SIS II-
indberetninger på nationalt plan, ligesom den har undersøgt medlemslandenes konsulta-
tion af SIS II til administrative formål. Gruppen har endvidere etableret en undergruppe,
der skal se på kriterier for at foretage indberetninger i medfør af forordningens artikel 24.
Repræsentanter fra Europa-Kommissionen og eu-LISA
6
har endvidere deltaget på møder-
ne med henblik på at drøfte aktuelle databeskyttelsesretlige spørgsmål og holde gruppen
underrettet om den aktuelle situation for SIS II. Den Europæiske Tilsynsførende for Data-
beskyttelse har præsenteret sin inspektionsrapport vedrørende inspektion hos eu-LISA.
På Datatilsynets hjemmeside under punktet Internationalt
Schengen-samarbejdet in-
des generel information om Schengen-samarbejdet, Schengen-informationssystemet
(SIS) og Datatilsynets opgaver i relation til SIS.
Told-informationssystemet (CIS)
På toldområdet deltager Datatilsynet i Den Fælles Tilsynsmyndighed for Told-informati-
onssystemet (JSA Customs) og Koordinationsgruppen for tilsynet med Told-informations-
systemet (CIS SCG).
I Den Fælles Tilsynsmyndighed for Told-informationssystemet har der i 2016 været afholdt
to møder, hvor der på baggrund af spørgeskemaer til databeskyttelsesmyndighederne er
drøftet tilsynsaktiviteter.
I Koordinationsgruppen for tilsynet med Told-informationssystemet har der i 2016 været
afholdt ét møde, hvor man bl.a. har fulgt op på gruppens arbejde med et fælles format for
inspektion af CIS, samt den af gruppen udarbejdede vejledning om registreredes rettighe-
der.
Datatilsynet har endvidere i 2016 foretaget tilsyn hos SKAT, som er dataansvarlig for Told-
informationssystemet.
6
Den Europæiske Unions agentur for store it-systemer
35
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0038.png
Eurodac
Som led i tilsynet med Eurodac deltager Datatilsynet i Koordinationsgruppen for tilsynet
med Eurodac (Eurodac SCG).
I 2016 har der været afholdt to møder, hvor der bl.a. har været drøftelse af den nye Euro-
dac-forordning
7
. Endvidere har gruppen via spørgeskema indsamlet information om de
enkelte medlemsstaters anvendelse af den nye Eurodac-forordning. Repræsentanter fra
Europa-Kommissionen og eu-LISA
8
har endvidere deltaget på møderne med henblik på at
drøfte aktuelle databeskyttelsesretlige spørgsmål og holde gruppen underrettet om den
aktuelle situation for Eurodac-systemet. Den Europæiske Tilsynsførende for Databeskyt-
telse har præsenteret sin inspektionsrapport vedrørende inspektion hos eu-LISA.
Visum-informationssystemet (VIS)
Som led i tilsynet med behandling af personoplysninger i Visum-informationssystemet
(VIS) deltager Datatilsynet i Koordinationsgruppen for tilsynet med Visum-informations-
systemet (VIS SCG).
I 2016 har der været afholdt to møder, hvor gruppen bl.a. har haft besøg af repræsentanter
fra Europa-Kommissionen og eu-LISA
9
, som har orienteret gruppen om den endelige ud-
rulning af VIS, samt om det aktuelle forslag om et entry/exit-system. Europa-Kommissio-
nen og eu-LISA har endvidere informeret om de foreløbige resultater af Schengen-evalue-
ringer udført efter den nye mekanisme. Gruppen har fortsat undersøgelsen fra 2014 om
databehandleres adgange til Visum-informationssystemet. Derudover har gruppen drøf-
tet forpligtelsen til at lave audits af VIS hvert fjerde år. Endelig har gruppen udarbejdet en
rapport om den registreredes ret til indsigt i Visum-informationssystemet, ligesom en
form til anmodning om indsigt, korrektion og sletning er udarbejdet.
Datatilsynet har endvidere i 2016 gennemført et Schengen-relateret tilsyn på den danske
ambassade i Dublin, hvor der bl.a. er ført tilsyn med ambassadens brug af VIS.
7
8
9
Europa-Parlamentets og Rådets forordning (EU) nr. 603/2013 af 26. juni 2013 om oprettelse af »Eurodac« til sammenligning af
ingeraftryk med henblik på en effektiv anvendelse af forordning (EU) nr. 604/2013 om fastsættelse af kriterier og procedurer til
afgørelse af, hvilken medlemsstat der er ansvarlig for behandlingen af en ansøgning om international beskyttelse, der er indgivet i
en af medlemsstaterne af en tredjelandsstatsborger eller en statsløs og om medlemsstaternes retshåndhævende myndigheders og
Europols adgang til at indgive anmodning om sammenligning med Eurodacoplysninger med henblik på retshåndhævelse og ændring
af forordning (EU) nr. 1077/2011 om oprettelse af et europæisk agentur for den operationelle forvaltning af store it-systemer inden for
området med frihed, sikkerhed og retfærdighed
Se note 1
Se note 1
36
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0039.png
Indre Markeds-informationssystemet (IMI)
Datatilsynet deltager i Koordinationsgruppen for tilsynet med Indre Markeds-informati-
onssystemet IMI (IMI SCG).
I 2016 har der været afholdt ét møde, hvor man bl.a. drøftede status for systemet og ved-
tog en forretningsorden for gruppen
Eurojust
Eurojust er et EU-organ, som blev oprettet i 2002 for at forbedre kompetente myndighe-
ders effektivitet inden for EU’s medlemsstater, når myndighederne beskæftiger sig med
efterforskning og retsforfølgning af alvorlig grænseoverskridende og organiseret krimina-
litet. For at udføre sine opgaver behandler Eurojust væsentlige mængder oplysninger, ofte
persondata, der relaterer sig til mistænkte, dømte personer, vidner og ofre for forbrydel-
ser.
Datatilsynet er repræsenteret i den Fælles Kontrolinstans (JSB), som er en uafhængig kon-
trolinstans oprettet i medfør af artikel 23 i Eurojust-afgørelsen
10
, og som kollektivt overvå-
ger Eurojusts aktiviteter, der involverer behandling af persondata, og sikrer, at disse udfø-
res i henhold til Eurojust-afgørelsen. JSB’s medlemmer er dommere eller personer, der
har tilsvarende uafhængighed (i praksis databeskyttelseskommissærer), og som derfor
har væsentlig ekspertise inden for både databeskyttelse og retligt samarbejde.
Der har i 2016 været afholdt ét møde i den fælles kontrolinstans.
Europarådet
Arbejdsgruppen for databeskyttelse (T-PD) har fortsat sit arbejde i 2015. Gruppen har
bl.a. arbejdet med behandling af helbredsoplysninger. Det er Justitsministeriet, der mø-
der i T-PD.
Berlin-gruppen
International Working Group on Data Protection in Telecommunications, også kaldet Ber-
lin-gruppen, har i 2016 afholdt to møder. I april mødtes gruppen i Oslo efter invitation fra
det norske datatilsyn, og i november mødtes gruppen i Berlin.
10
Rådets afgørelse af 28. februar 2002 om oprettelse af Eurojust for at styrke bekæmpelsen af grov kriminalitet som ændret ved Rådets
afgørelse af 16. december 2008
37
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0040.png
Berlin-gruppen fokuserer på nye informationsteknologier og tendenser, med henblik på
at afdække implikationer for databeskyttelse og privatliv, samt at give anbefalinger til in-
teressenter. Gruppens arbejde afspejles i rækken af publicerede udtalelser, såkaldte
Working Papers, som er tilgængelige på Berlin-gruppens hjemmeside.
Berlin-gruppen publicerede i 2006 en udtalelse vedrørende privatliv og sikkerhed i inter-
net-telefoni (VoIP). I de ti år der er gået siden, har kommunikation via Internettet antaget
helt nye former og større omfang. Kommunikationsmulighederne er nu langt mere mang-
foldige og forskellige. Forandringerne er faciliteret af nye kommunikationsplatforme,
skabt af opindsomme entreprenører og understøttet af den hastige udvikling i kommuni-
kationsteknologierne. På denne baggrund offentliggjorde Berlin-gruppen efter mødet i
april en ny udtalelse om internet-telefoni (VoIP) og relaterede kommunikationsteknolo-
gier. Udtalelsen komplementerer udtalelsen fra 2006 og sætter øget fokus på bl.a. beho-
vet for at beskytte fortroligheden af såvel kommunikationens indholdsdata som metadata
i de ny kommunikationsformer, der mere og mere erstatter eksempelvis traditionel tele-
foni.
I årets løb har Berlin-gruppen fortsat arbejdet med aktuelle emner, som indeholder pro-
blemstillinger med hensyn til databeskyttelse og beskyttelse af privatliv, eksempelvis an-
vendelse af biometri i elektronisk online autentiikation, ICANN’s nye generation af RDS
(Registration Directory Services) for internettet, og privatlivsbeskyttelse på e-læringsplat-
forme.
Aktualiseret af tendenserne i udviklingen af nye biler, har Berlin-gruppen sat emnet ”con-
nected cars” på arbejdsprogrammet. Udviklingen går mere og mere i retning af, at biler
kommunikerer med biler, og biler kommunikerer med tredjeparter i omverdenen, hvilket
kan have implikationer for såvel privatliv som databeskyttelse, såfremt det ikke sker
transparent og under brugerens kontrol.
Den europæiske konference
Som et led i det europæiske samarbejde afholdes hvert år en konference (forårskonferen-
cen), hvor datatilsynene drøfter aktuelle spørgsmål om databeskyttelse.
Datatilsynet var repræsenteret på årets konference, der blev afholdt i Budapest i Ungarn.
På konferencen vedtog datatilsynene to resolutioner, som kan indes på Datatilsynets
hjemmeside under punktet Om Datatilsynet
Internationalt
Konferencer
Den Euro-
pæiske Konference.
38
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0041.png
Den internationale konference
Hvert år afholdes der en international konference for databeskyttelseskommissærer med
deltagere fra hele verden. Konferencen indeholder en åben del, som også andre end data-
tilsynsmyndighederne kan deltage i.
Herudover har konferencen et møde kun for datatilsynsmyndighederne, hvor databeskyt-
telseskommissærerne bl.a. vedtager resolutioner vedrørende aktuelle problemstillinger
inde for databeskyttelse og beskyttelse af privatlivet.
I 2016 vedtog den internationale konference en række resolutioner, som kan indes på
Datatilsynets hjemmeside under punktet Internationalt
Konferencer.
Datatilsynet var ikke repræsenteret på årets konference, som blev afholdt i oktober i Mar-
rakech i Marokko.
Nordisk samarbejde
I maj 2016 afholdt de nordiske datatilsynsmyndigheder i Norge, Sverige, Finland, Åland,
Island, Færøerne og Danmark for fjerde gang et stort fælles møde for både chefer, sagsbe-
handlere og it-teknikere. Mødet foregik i Reykjavik i Island.
Mødet blev indledt med en fælles session om det forgangne år i tilsynene og om de over-
ordnede planer for arbejdet med EU’s databeskyttelsespakke. Herefter blev deltagerne
delt op i forskellige sessioner (cheferne, sagsbehandlerne og it-teknikerne). Chefgruppen
talte bl.a. om fælles nordiske inspektioner og konsekvenser af EU’s databeskyttelsespak-
ke for tilsynsmyndighederne. Sagsbehandlerne talte bl.a. om tv-overvågning efter data-
beskyttelsesforordningen inder anvendelse og rollen som databeskyttelsesrådgiver. It-
teknikerne talte bl.a. om gennemførelse af it-sikkerhedsinspektioner og cloud. Et resumé
af drøftelserne i de forskellige sessioner blev præsenteret og diskuteret på en afsluttende
fælles session.
39
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0042.png
Datatilsynets tilsyn
Datatilsynets tilsynsvirksomhed skal ses i lyset af tilsynets mission og vision. Tilsynets
mission omfatter både rådgivning om registrering, videregivelse og anden behandling af
personoplysninger og tilsyn med, at myndigheder, virksomheder og andre dataansvarlige
overholder persondataloven. Datatilsynets tilsyn opfylder begge hovedformål med væg-
ten lagt på tilsynsdelen.
Selv om det primære formål med Datatilsynets tilsyn er at foretage konkret kontrol og om
nødvendigt at sikre en bedre overholdelse af loven hos de dataansvarlige, er tilsynene
også en anledning for Datatilsynet til at komme i dialog med virksomheder og myndighe-
der. Tilsynet indsamler via sine tilsyn også viden om, hvordan behandlingen af personop-
lysninger foregår hos forskellige typer af dataansvarlige. Denne viden kan tilsynet på det
generelle plan anvende i andre sammenhænge.
Datatilsynets tilsynsstrategi
Datatilsynets inspektionsstrategi for perioden 2013-2015 er fra 2016 erstattet af en ny
tilsynsstrategi. Datatilsynets tilsynsstrategi 2016-2018 ”Ny organisation af tilsynsarbej-
det” fastlægger overordnede rammer for tilsynsaktiviteterne. Strategien indeholder bl.a.
initiativer, som skal sikre et effektivt tilsyn. Tilsynsstrategien er tilgængelig på www.data-
tilsynet.dk under ”publikationer”.
Ét af initiativerne i strategien er oprettelse af en ny tilsynsenhed, som har fået ansvaret for
alle Datatilsynets planlagte tilsyn og Datatilsynets ad hoc tilsyn vedrørende brud på per-
sondatalovens sikkerhedskrav.
Planlagte tilsyn og ad hoc tilsyn
I Datatilsynets tilsynsstrategi sondres der mellem to typer af tilsyn:
• Planlagte tilsyn – dvs. tilsyn, der iværksættes som led i Datatilsynets årlige tilsynsplanlæg-
ning, og
• Ad hoc tilsyn – dvs. tilsyn, der iværksættes som følge af konkrete hændelser.
40
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0043.png
Ved udvælgelse af emner for planlagte tilsyn skal der ifølge tilsynsstrategien for 2016-
2018 navnlig fokuseres på behandlinger af personoplysninger, som på grund af deres om-
fang eller formål kan indebære en særlig risiko for at krænke de registreredes ret til data-
beskyttelse og privatliv, samt på behandlinger, som indebærer brug af ny teknologi.
Ved udvælgelsen af såvel emner som de dataansvarlige, der skal indgå i de planlagte til-
syn, tager Datatilsynet bl.a. i betragtning, om der på et område er fremkommet oplysnin-
ger – herunder ved henvendelser fra borgere eller via medieomtale – der kunne tyde på et
særligt behov for tilsyn.
Tilsyn i 2016
I 2016 foretog Datatilsynet 51 tilsyn. Disse tilsyn var fordelt med 31 tilsyn overfor offentli-
ge myndigheder og 20 tilsyn overfor private dataansvarlige. På alle tilsynene har der væ-
ret anvendt oplysningsindsamling bl.a. ved hjælp af spørgeskema. Overfor otte dataan-
svarlige har Datatilsynet endvidere fulgt op med besøg.
Som det fremgår af tabellen, har der været et fald i det samlede antal tilsyn i 2016 set i
forhold til 2015.
120
100
80
60
40
20
0
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
2015
2016
Antal tilsyn
41
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0044.png
Datatilsynets tilsynsenhed fokuserede i 2016 på udvalgte emner hos en række dataan-
svarlige.
Kontrol af følgende emner er som udgangspunkt gået igen ved tilsynene hos offentlige
myndigheder:
uddybende sikkerhedsregler
myndighedens eget tilsyn
databehandleraftaler
myndighedens egen kontrol med databehandlere.
Tilsynene med offentlige myndigheder var fordelt på kommuner, regioner og statslige
myndigheder.
Hos de private dataansvarlige er følgende emner gået igen:
• iagttagelse af Datatilsynets vilkår
• databehandleraftaler
• virksomhedens egen kontrol med databehandlere.
Tilsyn hos kommuner
Datatilsynet gennemførte i foråret 2016 planlagte tilsyn med 10 kommuner. Herudover
fulgte Datatilsynet op med besøg i seks kommuner på Fyn.
Datatilsynets tilsyn gav det generelle indtryk, at nogle kommuner har øget fokus på data-
beskyttelse. F.eks. så tilsynet eksempler på god oplæring af medarbejdere, awareness-
kampagner og bedre styr på autorisationer og adgangskontrol.
Datatilsynet så imidlertid også en del tilfælde på mangler, som gav tilsynet anledning til
at udtale kritik i forskelligt omfang afhængigt af karakteren og omfanget af de fejl, som
tilsynet fandt. I de mest graverende tilfælde, hvor tilsynet konstaterede meget omfatten-
de mangler i efterlevelsen af persondataloven, fandt Datatilsynet anledning til at orien-
tere byrådet om de konstaterede mangler.
42
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0045.png
Tilsyn hos regioner
Datatilsynet foretog i 2016 planlagte tilsyn vedrørende behandling af personoplysninger
på speciikke områder hos de fem regioner. Fokus for disse tilsyn var behandlingen af
personoplysninger i forbindelse med elektroniske patientjournaler på udvalgte hospita-
ler. Tilsynene forventes afsluttet i første halvår af 2017.
Tilsyn hos statslige myndigheder
Datatilsynet foretog i 2016 planlagte tilsyn med Told-informationssystemet og et Schen-
gen-relateret tilsyn på den danske ambassade i Dublin, hvor der bl.a. er ført tilsyn med
ambassadens brug af Visum-informationssystemet.
I sidste halvår af 2016 startede Datatilsynet endvidere planlagte tilsyn op overfor otte
andre statslige myndigheder. Områderne for disse tilsyn var bl.a. behandling af personop-
lysninger i forbindelse med regnskab, løn- og personaleadministration.
Datatilsynet forventer at afslutte disse tilsyn i første halvår af 2017.
Tilsyn hos private dataansvarlige
Datatilsynet har i foråret 2016 foretaget planlagte tilsyn med 10 udvalgte private forskere
og virksomheder, der foretager behandling af personoplysninger udelukkende i videnska-
beligt eller statistisk øjemed, og som har Datatilsynets tilladelse til behandling af person-
oplysninger i videnskabeligt eller statistisk øjemed. Emner for tilsynene var bl.a. iagtta-
gelse af udvalgte vilkår om sikkerhed ved verserende projekter, databehandleraftaler og
kontrol med databehandlere.
I andet halvår af 2016 har Datatilsynet startet tilsyn overfor 10 private virksomheder, som
har tilsynets tilladelse til behandling af følsomme personoplysninger i forbindelse med
whistleblowersystemer eller personaleadministration. Fokus for disse tilsyn var bl.a. om
virksomhederne har fastsat uddybende sikkerhedsregler og retningslinjer for eget tilsyn.
43
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0046.png
Afslutning af it-sikkerhedstilsyn
I andet halvår af 2015 blev der afholdt to it-sikkerhedstilsyn, som havde til formål at un-
dersøge efterlevelsen af logningskrav i forbindelse med statistikproduktion og analyser
hos en offentlig myndighed på sundhedsområdet (Statens Serum Institut) samt en kom-
mune (Frederiksberg).
Begge myndigheder behandler følsomme personoplysninger om borgerne. Flere forskel-
lige anvendelser af personoplysninger i forskellige it-systemer blev undersøgt, herunder
anvendelser af sundhedsoplysninger om voksne og børn. Datatilsynet afsluttede i 2016
tilsynene og udtalte i den forbindelse kritik til begge myndigheder for mangelfuld logning
i lere af de undersøgte systemer.
44
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0047.png
Oversigt over udførte tilsyn i 2016
Staten:
Beskæftigelsesministeriet
Rigsadvokaten
Rigspolitiet
SKAT (Toldinformationssystemet)
Vejdirektoratet
Sundhedsdatastyrelsen
Sundheds- og Ældreministeriet
Udlændinge- og Integrationsministeriet (Visum-informationssystemet)
Udenrigsministeriet (Visum-informationssystemet)
Udbetaling Danmark
Kommuner:
Assens Kommune
Faaborg-Midtfyn Kommune
Horsens Kommune
Kerteminde Kommune
Langeland Kommune
Læsø Kommune
Odense Kommune
Odder Kommune
Rebild Kommune
Rudersdal Kommune
Samsø Kommune
Skanderborg Kommune
Svendborg Kommune
Vejen Kommune
Vejle Kommune
Ærø Kommune
Regioner:
Region Hovedstaden
Region Midtjylland
Region Nordjylland
Region Sjælland
Region Syddanmark
45
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0048.png
Privat forskning og statistik:
Carsten Bøcker Pedersen
Hans Bisgaard
Henrik Toft Sørensen
Kaare Christensen
Kommunernes Landsforening
Mogens Vesterjaard
PensSam Liv
Preben Bo Mortensen
Rockwool Fondens Forskningsenhed
Susanne Oksbjerg Dalton
Whistleblowersystemer:
Bang & Olufsen
COWI A/S
Danfoss A/S
Dong Energy A/S
ISS World Services A/S
Personaleadministration:
Amo Denmark ApS
Danske Spil A/S
DOMS A/S
Hilton Copenhagen ApS
IKEA A/S
46
REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016 REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016 REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016 REU, Alm.del - 2016-17 - Bilag 294: Publikation: Datatilsynets årsberetning 2016
1763843_0052.png
Datatilsynet
Borgergade 28, 5.
1300 København K
Telefon: 3319 3200
Telefax: 3319 3218
E-mail: [email protected]
Hjemmeside: www.datatilsynet.dk
ISSN nr: 1601-5657
ISBN nr: 978-87-999222-1-5